微软启动新的开源项目 将Linux工具eBPF引入Windows
微软启动新的开源项目 将Linux工具eBPF引入Windows
微软启动了一个新项目,目的是将 Linux 内核工具 eBPF(扩展伯克利包过滤)引入 Windows。该公司坚持认为,让该技术在 Windows 中运行的举措并不代表创建一个 eBPF 的分叉。相反,它将使用现有的项目,包括 IOVisor uBPF 项目和 PREVAIL 验证器在自己的操作系统上运行 eBPF 程序和 API--特别是 Windows 10 和 Windows Server 2016 或以上。
对于 Windows 上的 eBPF 来说,现在依然是处于非常早期的阶段,因为微软才刚刚启动这个项目。因此,很难了解开发的速度且官方还没有公布时间表。在该项目的 GitHub 页面上,微软表示,其目的是 "为使用跨操作系统生态系统的通用钩子和辅助工具的代码创建源代码兼容性"。
由于它能够在 Linux 内核中运行沙盒程序,而不需要改变内核源代码或加载内核模块,该技术对众多安全应用来说是完美的。
eBPF 是一项著名的技术,可以提供可编程性和敏捷性,特别是用于扩展操作系统内核,用于 DoS 保护和可观察性等用例。这个项目是一项正在进行的工作,它允许使用 Linux 生态系统中熟悉的现有 eBPF 工具链和 API 在 Windows 之上使用。也就是说,这个项目将现有的 eBPF 项目作为子模块,并在其间添加一层,使其在 Windows 之上运行。
在关于该技术的 FAQ 中,该公司指出,"当 HVCI 被启用时,eBPF 程序在解释模式下可以正常工作,但在使用 JIT 编译时就不行了"。
关于 Windows 上的 eBPF 的更多信息可在项目的 GitHub 页面上找到:
https://github.com/Microsoft/ebpf-for-windows
来自: cnBeta